A Microsoft lançou outro patch como parte do programa Patch Tuesday, contendo correções para 97 vulnerabilidades em vários produtos da empresa. Entre outras coisas, os desenvolvedores eliminaram a vulnerabilidade de dia zero CVE-2023-28252, que está associada ao driver CLFS (Common Log File System) do Windows e permite o escalonamento de privilégios no sistema atacado.
Fonte da imagem: Microsoft
De acordo com os dados disponíveis, a vulnerabilidade mencionada é usada ativamente por hackers para realizar ataques de ransomware. O problema afeta todas as versões atuais de servidor e cliente do Windows, por isso é melhor não adiar a instalação do patch.
De acordo com a Kaspersky Lab, a vulnerabilidade CVE-2023-28252 está sendo usada por invasores para implantar o ransomware Nokoyawa. Principalmente ataques desse tipo são direcionados a representantes de pequenas e médias empresas no Oriente Médio, América do Norte e Ásia. Especialistas em segurança da informação observaram que a vulnerabilidade de dia zero mencionada difere de outras porque é ativamente explorada por cibercriminosos motivados financeiramente.
O malware Nokoyawa foi notado pela primeira vez em fevereiro de 2022. Supõe-se que os membros do agora extinto grupo Hive atuaram como operadores deste software. Como outros ransomwares, Nokoyawa criptografa os dados nos dispositivos atacados, após o que eles exigem um resgate para restaurá-los. Os operadores de malware também ameaçaram as vítimas com a divulgação de dados confidenciais que supostamente roubaram durante os ataques.